Home » Fachbeiträge » Cybersecurity » Der Feind im eigenen Netzwerk

Wie Cyberkriminelle gezielt Insider rekrutieren: Der Feind im eigenen Netzwerk

Insider-Bedrohungen sind eine der gefährlichsten Schwachstellen in der Cybersicherheit. Besonders alarmierend: Cyberkriminelle nutzen ausgefeilte Taktiken, um Mitarbeiter gezielt zu rekrutieren oder sich unbemerkt in Unternehmen einzuschleusen. Wie können sich Unternehmen schützen? Der Schlüssel liegt in einer Kombination aus präventiven Maßnahmen, smarter Technologie und einer engen Zusammenarbeit zwischen HR und Security-Teams.

·

Redaktion IT-SICHERHEIT (cs)

4 Min. Lesezeit
Eine Menge von Menschen und einen rot ausgeleuchteten, der hervorsticht
Foto: ©AdobeStock/Maksym

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Insider-Bedrohungen rücken wieder verstärkt in den Fokus – unter anderem durch Berichte über eine zunehmende Aktivität nordkoreanischer Cyberspione in Unternehmen in den USA und Europa. Bereits im Oktober 2023 schlug das FBI Alarm: Getarnt als IT-Spezialisten schleusten sich nordkoreanische Hacker gezielt in Firmen ein, um sensible Informationen abzugreifen. In Deutschland wurden seither ebenfalls vermehrt ähnliche Vorfälle beobachtet.

Ein prominentes Beispiel: der Angriff auf den Rüstungskonzern Diehl Defence. Die Bedrohung von innen wächst – und traditionelle Sicherheitsmaßnahmen greifen längst nicht mehr. Unternehmen müssen also ihre Schutzstrategien anpassen, um den neuen Angriffsvektoren einen Schritt voraus zu sein.

Besonders perfide ist die gezielte Manipulation von Mitarbeitern über soziale Netzwerke und Foren. Cyberkriminelle locken mit lukrativen Angeboten, um an Insider-Informationen zu gelangen – ein Modell, das vor allem bei freiberuflichen Fachkräften oder externen Dienstleistern auf fruchtbaren Boden fällt, denn gerade Remote-Mitarbeiter fühlen sich oft weniger stark mit ihrem Auftraggeber verbunden, was sie anfälliger für solche Anfragen macht. Aber auch wer unbedacht Fotos von Firmenveranstaltungen teilt oder Kommentare zu strategischen Entscheidungen seines Unternehmens veröffentlicht, kann ungewollt ins Visier geraten.

Doch nicht nur bestehende Mitarbeiter stellen ein potenzielles Risiko dar. Ähnlich wie die nordkoreanischen Spione schleusen die Angreifer vermehrt auch direkt Arbeitskräfte ein. Der Trend zum Remote Hiring, also zum vollständig virtuellen Einstellungsprozess, hat hier viele Hürden beseitigt. Besonders riskant wird es, wenn Aufgaben in kostengünstige Drittländer ausgelagert oder Subunternehmer eingebunden werden, denn in solchen Fällen fehlen oft transparente Sicherheitsprüfungen. Häufig gewährt man IT-Fachkräften schnell weitreichenden Zugriff auf gemeinsame Workspaces, GitHub-Repositories oder interne Plattformen, ohne die erforderlichen Background-Checks durchzuführen.

Diese Entwicklung betrifft Unternehmen aller Branchen. Wer nicht gezielt gegensteuert, öffnet Tür und Tor für unbemerkte Spionage und Datendiebstahl.

Wie sich Personalabteilungen schützen können

Ein genauer Blick auf die Zahlen zeigt, dass es besonders große Risiken beim Zugriff und Rechtemanagement gibt. Erfahrene Bedrohungsakteure sind bestens vorbereitet – sie arbeiten mit ausgefeilten Playbooks, die sie präzise und systematisch umsetzen. Analysen enttarnter Angriffe belegen, wie geschickt diese Strukturen orchestriert sind. Viele Täter sind sich nicht einmal bewusst, Teil eines kriminellen Netzwerks zu sein.

Ein eindrucksvolles Beispiel ist der Fall der inzwischen in den USA inhaftierten Russin Alla Witte. Von der Conti-Gruppe in Venezuela rekrutiert, führte sie Hackerangriffe aus – angeblich in dem Glauben, es handle sich um einen regulären IT-Support-Job. Ob sie wirklich ahnungslos war oder nicht, sei dahingestellt. Doch ihr Fall verdeutlicht eindrucksvoll, wie professionell Cybercrime-Organisationen agieren – bis hin zum geschickten Einsatz unwissender Insider.

Für Personalabteilungen ist es daher essenziell, sich eng mit der IT und den Security-Verantwortlichen abzustimmen. Die folgenden Maßnahmen helfen dabei, Sicherheitsrisiken frühzeitig zu erkennen und zu minimieren.

Vor dem Job-Interview:

  • Prüfung von Anschreiben und Lebenslauf auf verdächtige Muster.
  • Prüfung der Telefonnummern von Referenzkontakten auf deren Echtheit.
  • Abgleich des Bewerbungsprofils mit öffentlich zugänglichen Online-Profilen des Bewerbers.
  • Abgleich des Bewerbungsprofils mit im Netz einsehbaren offiziellen Quellen.
  • Nutzung neuester Identitätsprüfungstechnologien, um gefälschte oder nachgemachte Ausweisdokumente zu erkennen.

Während des Job-Interviews:

  • Durchführung telefonischer Screenings als Referenzscreenings.
  • Durchführung eines virtuellen Bewerbungscalls, wobei „Video-on“ sowie die Abschaltung von Unschärfen, Filtern und Hintergrundbildern eine zwingende Voraussetzung sein sollte, die jeder Bewerber zu erfüllen hat.
  • Nutzung moderner Identitätsprüfungstechnologien, um die Echtheit des Gesichts des Kandidaten in der Videokonferenz verifizieren zu können.
  • Einflechtung konkreter Fragen, die der Bewerber nur beantworten kann, wenn seine genannte Identität zutrifft (zum Beispiel zu Lokalitäten am Geburtsort, am derzeitigen Wohnort oder zu angegebenen Hobbys).

Nach dem Job-Interview:

Sollte vor oder während des Interviews der Verdacht entstehen, dass es sich bei einem oder mehreren Kandidaten um Betrüger handelt, sollte der CISO umgehend benachrichtigt werden.

Wird ein Bewerber angenommen, sollte darauf geachtet werden, dass beim Versand von Firmengeräten – wie Mobiltelefonen, Laptops, Tablets und Hardware-Token – an dessen Privatadresse ausschließlich dieser die Geräte in Empfang nimmt – und dies auch nur dann, wenn er sich mittels offizieller Dokumente ausgewiesen und den Empfang gegenüber dem Versandunternehmen schriftlich quittiert hat.

In der Anfangsphase der Anstellung sollte der neue Mitarbeiter nur eingeschränkten Zugriff auf das Unternehmensnetzwerk erhalten.

Fazit

Insider-Bedrohungen gehören seit jeher zu den kritischsten Herausforderungen der Cybersicherheit, und die geopolitische Lage macht sie heute unberechenbarer denn je. Ignorieren ist keine Option. Ein strikter Einstellungsstopp jedoch auch nicht, denn Unternehmen benötigen weiterhin neue Mitarbeitende – ob vor Ort, remote, direkt oder über externe Dienstleister.

Der Schlüssel liegt in präventiven Maßnahmen: HR-Abteilungen gezielt schulen, IT und Personal eng mit der Cybersecurity verzahnen sowie das Sicherheitsbewusstsein frühzeitig verankern. Nur so lassen sich Risiken proaktiv entschärfen. Besonders effektiv ist der Einsatz intelligenter Lösungen, wie die Kombination von New-School Security Awareness mit KI-gestützten Assistenten, die Mitarbeiterinnen und Mitarbeiter in Echtzeit unterstützen und auf definierte Sicherheitsrichtlinien hinweisen.

Letztlich gilt – ob im Geschäftsleben oder darüber hinaus: „Drum prüfe, wer sich bindet“ – sei es für den Moment oder auf lange Sicht.

Porträt Martin Krämer
Foto: KnowBe4

Dr. Martin Krämer ist Security Awareness Advocate bei KnowBe4.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante Fachbeiträge

Digitaler Workflow, Mann schreibt auf Tablet mit Pen

Warum AI Gateways zum Schutz nötig sind

KI-Agenten benötigen Zugang zu Ressourcen wie Dienste, Tools und Daten, um ihre Aufgaben zu erfüllen. Aber dieser Zugriff darf nicht unbegrenzt sein. Damit er nur im entsprechenden...

Security Management
Tippende Hände auf virtueller Tastatur

Souveräne IT-Sicherheit in der Praxis

Ohne digitale Souveränität wird es auch mit der europäischen Souveränität nichts“, sagte Claudia Plattner – jetzt Präsidentin des BSI – im Jahr 2022, als sie noch IT-Leiterin der E...

Security Management
Stromausfall, beleuchtetes GEbäude, Mond

Rechenzentren rüsten sich für großflächige Stromausfälle

Die Abhängigkeit von digitaler Infrastruktur nimmt zu, doch Deutschlands Stromnetze sind überlastet, und Stromausfälle werden wahrscheinlicher. Rechenzentren müssen daher heute deu...

KRITIS